盘点最近两年出版的信息安全类图书「送书」

书籍是获取知识性价比最高的途径，每一本书都汇聚了作业巨大的心血以及多年的实践经验，这两年疫情期间，信息安全领域出现了多个优秀书籍，今天就来一一盘点，总有一款适合你。

送书活动：在本文下方留言【想要的书籍名称+自己的理由】，优秀的留言将被展现，活动结束时统计留言的点赞数，点赞前五名将获得赠送书籍的资格。
活动结束时间：2023 年 2 月 18 日 晚 8 点

WEB 安全系列

web 安全领域算是安全行业积累比较久，玩的人数最多的领域，知名的 OWASP Top 10 漏洞作为信息安全初学者入门必修课，学习了解 web 漏洞的类型和原理，历史上有非常多优秀的书籍，比如 《白帽子讲 WEB 安全》、《黑客技术宝典 WEB 实战篇》 等，今天分享几个最近出版的 web 安全相关书籍。

《WEB 代码安全漏洞深度剖析》

这本书可以说是代码审计的入门书籍，书籍脉络从环境搭建开始，到常规漏洞的讲解，最后是常见业务逻辑漏洞的内容。

其中涉及大量漏洞案例，均以 PHP 作为审计到目标，在学会漏洞测试的前提下，理解代码的原理，适合信息安全初学者学习 web 相关漏洞以及基础的代码审计方法论。

《开发者的 WEB 安全戒律》

本书可以说是一本 web 安全的科普书籍，是一本国外书籍的译本，主要介绍了 web 常见的漏洞以及缓解措施，但是未做进一步的原理解析，算是一个手册吧。

作为了解 web 安全相关技术是个不错的读物，适合信息安全初学者阅读。

《 CTF 特训营:技术详解、解题方法与竞赛技巧》

信息安全行业的初学者，可以实践的场所的比较少，通常建议参加一些 CTF 比赛，挖一些 SRC 漏洞来提高实践经验，近几年 CTF 比赛越来越多，学校、企业、培训机构都在举办相应比赛，挖掘人才。

而 CTF 涉及的技术也比较多而杂，比如 web、杂项、加密解密、pwn 等，本书有老牌 CTF 战队成员编写，积累多年参加 CTF 的比赛经验，汇聚成书，适合学生、初学信息安全的读者。

《API 安全实践》

API 即应用程序接口，越来越多的网站采用前后端分离的架构，而 API 则为前端展示内容提供数据的接口，这样做的好处是可以给用户提供友好的使用体验，随着使用者越来越多，API 的安全问题也随之备受关注。

对于 API 而言，最为常见的漏洞包括：常规漏洞 SQL 注入、信息泄漏、XSS 等，逻辑漏洞越权、绕过速率限制等，而这本书从 API 基础到身份验证，再到授权做了深度技术分析和原理讲解，除了这些基础内容之外，还讲了 k8s 环境下的 API 安全以及物联网环境下的 API 安全，可以是说是 API 安全的一本宝典了。

本书作者是国外的一名具有 20 年 API 安全经验的专家编写，适合从事 SDL、渗透测试相关工作的人阅读，需要具备一定的 web 安全经验。

红蓝对抗系列

红蓝对抗是近几年安全圈比较火的一个词，其目的是通过攻防对抗的方式来检验企业的安全防御提示是否健全以及是否有效，由于国家级的对抗活动让其更是火了一把。这是最贴近黑客技术本身的一个领域，也是大部分安全从业者最感兴趣的部分。

这里是分攻击方和防守方的，攻击方用到的技术更贴近黑客，为了达到目标可以无所不用其极，而防守方更多是在做监控，及时发现威胁、控制威胁、消除威胁，从而以最快的速度化解攻击者的攻势。

《红蓝攻防 构建实战化网络安全防御体系》

本书作为红蓝对抗技术的入门书籍是个不错的选择，介绍了很多在红蓝对抗过程中使用的工具、技术，可以让你对红蓝对抗有个整体的认识，适合对红蓝对抗技术感兴趣，有意从事相关工作的初学者。

《域渗透攻防指南》

域是 windows 系统下用于集中管理的一种官方手段，通常用于大型网络，比如公司、学校、政府等，而域渗透也是最近几年才在国内兴起，备受安全从业者的关注。

早在十年前，想要寻找一本讲解域渗透的书籍，也只能去国外查找资料，国内只能找到少量的 IT 运维书籍，本书是目前来说讲解域渗透相关知识最全面的，对于想要了解域渗透流程、工具、原理的读者是个很好的参考。

《网络空间测绘与实践 让互联网情报服务于网络安全》

网络空间测绘技术近年来发展迅猛，通过该技术，可以探测目标乃至全球互联网空间的节点分布情况和网络关系索引，构建目标乃至全球的互联网“地图”。

在网络安全对抗中，“全天候全方位感知网络安全态势，知己知彼，才能百战不殆”。网络空间测绘便是能够摸清网络空间资产及安全状况、提前获取互联网情报、判断攻防态势的核心技术，也是保障网络空间安全的最基础的工作。

本书算是对 ZoomEye 这个产品涉及技术的深度剖析，对于想要了解网络空间测绘技术的读者是个不错的选择。

安全防御系列

随着互联网的发展，安全事件越来越多，国家颁发的网络安全相关法律法规也逐渐完善，企业主的安全意识也在不断上升，企业对于安全负责人，安全工程师的需求逐年增加，而适合的人才缺比较少，这是机会，也是挑战。

《互联网安全建设从 0 到 1》

企业在预算有限的情况下，只能招聘若干个安全工程师，一个人的安全部这种情况也比较多，对于这种情况下，作为这类企业安全从业者该如何做？

当然，一个安全建设经验丰富的大佬就算了，但是大多数的情况是，从事攻击技术研究的人比较多，在甲方做安全防御工作的人少，在大量需求面前，之能聘用从事乙方攻击出身的工程师，而这类工程师，攻击能力一流，但是防御上该做什么可能并没有那么明白。

本书基本上把互联网企业安全建设所要做的事儿盘点的很清楚，而且便技术，即使没有预算的情况下，也能通过自身的技术能力，参考其内容，实现相关防御方案，如果你有转甲方防御的想法，或者已经在甲方还在一头雾水的情况下，推荐阅读此书。

《网络安全能力成熟度模型 原理与实践》

网络安全能力建设，业界有比较多的模型参照，本书对业内之名的模型做了介绍，再结合网络安全建设的驱动力：合规驱动、风险驱动、数据驱动以及溯源驱动，分别各个阶段中的网络安全战略、组织、管理、技术、运营等内容，最后再辅以案例解释。

本书适合甲方安全从业者，或者有意从事安全建设工作的读者。

《工业互联网安全》

工业互联网安全是伴随工业互联网的发展而生，学习工业互联网安全，需要具备工业互联网的基本知识，对于国家来说，工业互联网是个重要的领域，一旦发生安全事件，可能会引发国家安全，比如之前出现过的电网被入侵而导致断电，工厂被入侵导致设备损坏、停产等恶劣影响。

本书从工业互联网基础、威胁建模分析、安全分析、风险评估、安全防御多个部分讲解工业互联网安全的架构和技术，最后以实际的案例作为分析目标，实战分析，适合从事工业互联网相关从业者阅读。

《CSO 进阶之路 从安全工程师到首席安全官》

不想当将军的士兵不是一个好士兵，而安全从业者一定要有当 CSO 的信息，对于企业而言，职位带 O 意味着高管，属于企业管理层的核心，中文叫做首席安全官，负责企业信息安全相关事务。

想要成为企业的 CSO，技术、管理经验、情商、对业务的理解，缺一不可，成为 CSO 的途径不一，有从安全研究做到 CSO 的，有从安全管理做到 CSO 的，还有做普通安全工程师到 CSO 的，如何成为 CSO？需要具备哪些能力？遇到企业突发事件如何处置？

本书将为你一一讲解，提前了解 CSO 的前世今生，提前准备。

业务安全系列

业务安全风险是伴随业务发展而生，与业务有非常强的相关性，做安全之前，需要深入熟悉业务知识，与业务部门合作更多，嵌入更多。

提到风控，所设计的产品也是与业务强相关的，但是毕竟技术是相通的，通过大数据分析的手段，经过分析、提炼来预测结果，从而为决策者提供数据支撑。

《智能风控平台 架构、设计与实现》

风控是一个抽象的概念，是风险控制的简称，最开始是由趋势的需求主导，为了规避不确定的风险而诞生的一种经验，这种经验通过和科学知识的结合逐步形成标准化、体系化的方法论。

智能风控是指在大数据风控的基础上，通过强化算法、算力等人工智能技术对风险进行深度挖掘，实现全链路风险控制的自动化、高效、准确。

本书从智能风控的原理、智能风控平台的架构、智能风控平台的产品设计域实现三个维度展开讲解，适合从事业务安全相关工作的读者。

《智能风控 评分卡建模原理、方法与风控策略构建》

评分卡模型，通过模型算法，发现和提取处专家经验未知的风险规律，还可以通过完全量化的方式，使风险评价可以固化下来部署进决策系统，从而实现决策自动化。

本书从业务与技术、理论与实践、传统风控与智能风控等角度透彻讲解评分卡建模的原理、流程、方法及其风控策略的构建。适合从事业务安全相关工作的读者。

数据安全系列

数据安全性是指采用保护措施来防止数据受到未经批准的访问并保持数据机密性、完整性和可用性。数据安全性优秀实践包括数据保护技术，例如数据加密、密钥管理、数据编辑、数据子集和数据屏蔽，以及特权用户访问控制、审计和监视。

《数据安全实践指南》

大数据通常具备海量、快速、多样和低价值密度四个特征，如何从大体量、多样化且低价值密度的数据集合中高速转化和获取我们所需要的有价值信息，便成了大数据时代数据流动的关键问题。

本书从大数据的基本概念开始，列举国内外数据安全事件案例，到数据安全的治理思路，最后辅以实践经验来讲解数据安全相关技术和经验，便技术实践，适合企业信息安全负责人以及从事数据安全相关岗位的读者。

《大数据安全 技术与管理》

如今的大数据安全面临诸多挑战，比如平台本身的安全、个人信息保护、国家安全法规等，本书从大数据的现状起始分别讲述大数据的生命周期内不同阶段的安全，比如治理、创建、传输、存储、处理、交换、恢复和销毁、态势感知等。

本书便管理，阅读完本书，可以对大数据安全的各个阶段有个整体的认识，适合从事数据安全管理工作的读者阅读。